Hi Forum,
hat jemand diese Kombination am laufen? und wie hat es geklappt?
ich suche seit ein paar Tagen nach einem Tutorial für OPNsense, und bis jetzt nichts gefunden!
VG,
Karl
Für Unify nimmst du den pfsense installer, wenn das läuft machen wir weiter :)
Ich kann aber nur davon abraten, der Controller ist nicht für den Betrieb auf OPNsense gedacht.
Quote from: mimugmail on February 28, 2020, 06:00:57 AM
Für Unify nimmst du den pfsense installer, wenn das läuft machen wir weiter :)
Ich kann aber nur davon abraten, der Controller ist nicht für den Betrieb auf OPNsense gedacht.
Also der Controller nutzt schon einige Ressourcen. Ich nutzen ihn selbst auf ein paar OPNsense Systemen.
Tipp: aktiviere ihn nur wenn du ihn gerade brauchst, ansonsten würde ich den runterfahren:)
Aber die Anleitung für die Pfsense klappt.
Falls du den Controller nicht brauchst kann du bei den APs doch auch den Radiusserver so angeben oder ?
Weil für 2-3 APs lohnt sich der Controller nicht wirklich
Gesendet von meinem MI 9 mit Tapatalk
Danke euch für die Antworten...
und jetzt kommen ein paar Fragen dazu, vlt werde ich das ganze Thema irgendwie verstehen!
1. was soll ich auf meinem OPNsense installieren? freeRadius plugin oder was genau?
2. UniFi Controller läuft 24 Std. (mit VM Installation, extra Interface mit allen APs), trotzdem für 5 oder 6 APs ist kein Problem deren IP Adressen einzutragen (als Clients bestimmt)
3. im UniFi Controller werde ich ein Radius Profile anlegen, aber welche IP Adresse soll ich eingeben (als Server)? freeRadius läuft mit dem localhost 127.0.0.1 ?! es wird aber nicht anerkannt (glaube ich) von den APs!
4. in freeRadius Konfiguration : Welche Punkte sollen genau aktiviert werden? natürlich ,,enable" :-p und was noch?
5. gibt es extra Firewall Rules die angelegt werden sollen?
Danke euch wieder für die Hilfe dabei :-)
VG;
Karl
Anbei Mal ein paar Screenshots von einer fix zusammen gedengelten Konfig.
Dazu noch eine FW Regel für Port 1812/1813 und
dann sollte die VLAN Zuweisung bereits funktionieren.
(alles noch ohne Zertifikate)
(https://www.bilder-upload.eu/thumb/36bad1-1582927165.jpg) (https://www.bilder-upload.eu/bild-36bad1-1582927165.jpg.html)
(https://www.bilder-upload.eu/thumb/6a489b-1582927368.jpg) (https://www.bilder-upload.eu/bild-6a489b-1582927368.jpg.html)
[(https://www.bilder-upload.eu/thumb/f8985e-1582927659.jpg) (https://www.bilder-upload.eu/bild-f8985e-1582927659.jpg.html)
(https://www.bilder-upload.eu/thumb/bde975-1582927410.jpg) (https://www.bilder-upload.eu/bild-bde975-1582927410.jpg.html)
(https://www.bilder-upload.eu/thumb/cef176-1582927444.jpg) (https://www.bilder-upload.eu/bild-cef176-1582927444.jpg.html)
@stefanpf: freeRadius auf OPNsense ist weiter mit localhost IP Adresse konfiguriert, woher kommt denn die IP Adresse im Radius Profile? ich meine 10.11.1.254 !
und wo sollen die Firewall Rules angelegt werden?
Der UniFi Controller ist aber nicht auf OPNsense installiert? oder?
VG;
Karl
10.11.1.254 ist die IP meiner Opnsense im Management Netz (in dem auch die APs hängen).
Ja, ich nutze den Unifi Controller auf einem UCK.
Außerhalb eines Containers würde ich persönlich den auf keiner Maschine installieren. Unifi hat dort ein paar veraltete Abhängigkeiten die nervig werden können wenn auf dem System noch andere aktuelle Software läuft.
Ich weiß nicht so ganz was du mit deinem localhost meinst... eventuell den Vorgegebenen Client?
Du legst für jeden AP einen Client im Freeradius mit Secret und der IP des Radius-Clients (des APs an). Alternativ
lassen sich auch mehrere APs wie im Screenshot zusammenfassen (indem ein Subnetz hinterlegt wird)
freeRadius plugin wurde installiert, dann die standard Konfiguration für das Server ist mit IP Adresse vom localhost (das ist genau was ich meine mit localhost).
du hast geschrieben: dazu noch FW Regel für Port 1812/1813 , wo soll dieser Regel angelegt werden? im Management Interface? und wie? ich meine IPv4 UDP any to any ?
Naja, die Pakete müssen von den APs in die Sense.
Also auf dem entsprechenden Interface
UDP
Erst: this Firewall
dest-port 1812/1813
einverstanden :-) werde ich morgen alles tun wie du es beschreiben hast.
Meine letzte Frage (für heute :-p) ist: in eap , was soll ich genau nehmen? MD5 (as default) oder ein anderes Protokoll?
Learn to go before you run :)
Ich würde vorschlagen, du schaust erst einmal ob du es ohne Zertifikate ans laufen bekommst.
Danach musst du dich primär entscheiden ob TLS oder Peap bzw TTLS.
vgl. https://www.intel.de/content/www/de/de/support/articles/000006999/network-and-i-o/wireless-networking.html
Ich muss aber auch gestehen, dass ich die eap Konfig von Freeradius nicht ganz durchblicke.
Selbst wenn ich TLS (also mit Client Zertifikat) konfiguriert habe, scheint dies auf den Endgeräten optional zu sein, da ein nicht konfigurierter Client dann auch mit einem Fallback auf Benutzer/Passwort durchkommt.
Edit:
Gerade ist mir noch eingefallen das Unifi immer eine fiese Einschränkung hatte: man konnte ein einer SSID statisch zugewiesene VLAN nicht dynamisch per Radius einem Benutzer zuweisen.
Dies ist inzwischen gefixt. Da ich aber die Beta Firmware nutze, kann ich dir nicht sagen ob dies in der normalen stable auch schon angekommen ist (habe das Thema nicht aktiv verfolgt).
Hallo an die Runde,
ich stehe ebenso vor der Herausforderung, meine WLAN Geräte mittels FreeRADIUS zu authentifizieren. Leider sind die erwähnten Konfigs und Bilder nicht mehr in den Posts ersichtlich :-\
Zu meiner Konfiguration:
- opnsense mit FreeRADIUS Plugin
- Raspi mit Unifi Controller in einem Docker Container
- RADIUS nur für WLAN Devices
- Unifi Access Point
Kann mir vielleicht jemand helfen, was genau auf der opnsense im FreeRADIUS Plugin eingestellt werden muss?
Als Client habe ich den Unifi AP angegeben. Was muss jedoch unter Benutzer eingetragen werden? Alle WLAN Geräte? Wenn dem so ist, muss denn hier keine MAC Adresse der WLAN Clients eingetragen werden?
Danke vorab :)
Was willst du denn erreichen? Zertifikate, AD Anmeldung, lokale User?
Ich möchte Devices im WLAN automatisch in deren zugeordnetes VLAN routen, um die Anzahl an SSIDs möglichst gering zu halten.
Im Unifi Controller bin ich laut dieser Anleitung vorgegangen:
https://ubiquiti-networks-forum.de/wiki/entry/76-radius-server-mit-802-1x-und-mac-authentication-im-wlan-einrichten/
Ich stehe derzeit vor der Frage, was im FreeRADIUS Plugin auf opnsense zu konfigurieren ist und ob neben FW-Regeln auch noch NAT Portweiteitungen oder Routing manuell einzurichten sind oder auch ein RADIUS Benutzer unter Server einzutragen ist?
Ich bin mittlerweile einige Schritte weiter gekommen und bekomme bereits eine Verbindung. Im FreeRADIUS Log taucht jedoch noch die Fehlermeldung laut Anhang auf, sobald ich ein Device ins WLAN verbinden möchte.
Ich habe nun schon zig mal in FreeRADIUS unter Clients ein Secret eingetragen und dieses dann auch in Unifi RADIUS Authentifizierungsserver und im Unifi RADIUS Accounting Server eingetragen.
Ist das Secret sonst noch irgendwo einzutragen?
Muss das Secret irgendeiner Syntax folgen oder gewisse Zeichen / Zeichenlängen aufweisen?
Muss die Aktivierung im Unifi Controller oder im opnsense Plugin irgendeiner besonderen Reihenfolge folgen?
Quote from: neuling10 on May 28, 2024, 11:06:58 AM
Ich möchte Devices im WLAN automatisch in deren zugeordnetes VLAN routen, um die Anzahl an SSIDs möglichst gering zu halten.
Warum nutzt Du nicht einfach PPSK (Private Pre-Shared Keys)?
Frage zum Unifi AP wieso verwendest du für die Konfiguration nicht die Software von Unifi dazu soweit ich gesehen habe in der Version 8 sollte das alles soweit möglich sein. Ich habe die Software für das Webinterface direkt auf einer VM laufen so das immer Zugriff auf meinen AP habe und kann von dort aus alles mögliche Konfigurieren.
Vielen Dank für Eure Antworten :)
@Adm1n-1337:
Vielen Dank für den Hinweis zu PPSK, ich kannte die Funktion noch nicht. Hab das gerade ausprobiert, funktioniert :). Da ich mittlerweile aber auch den RADIUS Server zum Laufen bekommen habe, bleibe ich erstmal dabei.
Wie habe ich RADIUS zum Laufen gebracht?
Ich habe die komplette Konfiguration gelöscht und nochmals neu aufgesetzt. Wo auch immer, irgendwo dürfte ein Fehler begraben gewesen sein. Letztlich waren keine Sondereinstellungen von Secret, besondere Reihenfolge der Aktivierung und auch keine Einstellung unter System - Zugang - Server notwendig.
@Nephiria:
Ja, ich hab den Unifi Controller auch in Anwendung (Docker Container auf einem Raspi in Version 8.1.127). Die Unifi Geräte verwalte ich im Unifi Controller
Hallo Neuling10,
ich stehe vor der gleichen Aufgabe, Unifi AP soll sich gegen den OpnSense FreeRadius authentifizieren.
Leider bekomme ich es nicht zum Laufen. Der Unifi AP sendet die Anfrage an den FreeRadius, dieser
bestätigt auch die Anfragen:
Auth: (0) Login OK: [74b58****701/74b58****701] (from client Unifi port 0 cli 74-B5-87-**-**-01)
Aber der Client wird trotzdem mit dem WLAN nicht verbunden.
Im Debug-Mode erzählt der Freeafius:
(0) Login OK: [74b58****701/74b58****701] (from client Unifi port 0 cli 74-B5-87-**-**-01)
(0) Sent Access-Accept Id 16 from 192.168.5.144:1812 to 192.168.5.242:45820 length 60
(0) Tunnel-Type = VLAN
(0) Tunnel-Medium-Type = IEEE-802
(0) Tunnel-Private-Group-Id = "10"
(0) Framed-Protocol = PPP
(0) Finished request
Kannst Du Deine Konfiguration hier kurz skizzieren?
Grüße Detlev.